[ad_1]
1898 & Co. ha abierto el Centro de protección avanzada contra amenazas (ATPC) en Houston, Texas, una capacidad de próxima generación para proteger entornos de infraestructura críticos. ATPC mitiga las amenazas emergentes y crecientes a la infraestructura crítica de EE. UU.
Una mesa redonda en línea reciente contó con Jason Christopher, vicepresidente de ciberseguridad y transformación digital de Energy Impact Partners, y Victor Victor, director de estrategia de seguridad y riesgo para ciberseguridad industrial de 1898 & Co. y ex funcionario de inteligencia y energía de EE. UU., Atkins, Matt. Morris, director general global de seguridad y consultoría de riesgos de 1898 & Co., Gabe Sánchez, director de operaciones de seguridad de 1898 & Co., Marco Ayala, presidente de Infragard Houston, el analista principal de TP Research, Jonathan Gordon, estuvo presente y los ejecutivos sugirieron Se espera que el enfoque de ATPC sea más amplio. “Principalmente empresas de energía, incluidas empresas de petróleo y gas, químicas, eléctricas, de oleoductos, de agua y manufactureras”, revelaron.
El centro de Houston también presta servicios a empresas de servicios públicos más pequeñas. También participará la Asociación Estadounidense de Energía Pública (APPA). APPA es una organización bastante grande con aproximadamente 2.000 miembros, principalmente de gobiernos locales. Uno de los directores de APPA es un ex empleado de INL (Laboratorio Nacional de Idaho) que ayudó a diseñar y desarrollar las capacidades de servicios de seguridad gestionados de la empresa. “Essence, como sabrán, es una plataforma centrada en el lado OT, mientras que CRISP está más centrado en TI”, agregaron.
Los ejecutivos revelaron que los tipos de amenazas se han vuelto mucho más específicos. “Estamos viendo muchos ataques de correo electrónico empresarial que afectan a las redes de TI. La siguiente transición lógica que vemos es, ¿por qué detenerse allí? Si ya han comprometido la red, ¿por qué deberían hacerlo? Todavía se puede ganar mucho dinero entrar en ese espacio de tecnología operativa y tratar de generar algún impacto. Así es, a menudo todavía están motivados por el dinero, lo típico que se imagina. Sin embargo, estamos viendo un cambio en los actores de amenazas más allá de comprometer el correo electrónico empresarial. redes adicionales y utilizarlas para obtener beneficios económicos.
Sobre el tema de la convergencia de TI y OT, un ejecutivo dijo: “Lo creas o no, todavía hay muchos sistemas OT que llaman a TI. Llaman a otras partes del dominio que están inactivas y en espera”.
También reconocemos que un atacante hostil no necesariamente necesita acabar con OT directamente. “El daño colateral que ocurre en el lado de TI puede tener el mismo impacto. No sabemos si esa es la razón. Bueno, quiero decir, los actores de amenazas pueden especializarse en sus técnicas operativas, si así lo desean. acceso a grupos que puedan y vender ese acceso”.
Agregaron: “Eso se está convirtiendo en una realidad a medida que OT se conecta más estrechamente con TI. Pero es ciertamente cierto que esto es un error porque puede tener el mismo efecto que si la seguridad fuera una prioridad máxima, por lo que intentan cerrarlo y no poder tenerlo. visibilidad o realizar operaciones es una tendencia”.
Los ejecutivos coincidieron con la hipótesis de Gordon de que en los próximos 12 meses, el principal impacto en la reputación financiera estará cada vez más relacionado con aspectos no relacionados con OT. “En comparación con los sistemas informáticos, parece mucho más complicado y, en cierta medida, mejor protegido”, añadió.
En cuanto a las cuestiones regulatorias, los ejecutivos se dieron cuenta de que: “2022 y 2024 fueron los años de mayor actividad para ICS, OT y estándares y regulaciones de ciberseguridad, por supuesto, nunca había visto tanta actividad en NIS 2, pero también hay mucha actividad del equipo de redacción. Ese nivel definitivamente estaba hablando de cómo se ve una buena seguridad en ICS y OT. Creo que la parte estadounidense está analizando no solo las discusiones típicas de la FERC y la TSA, sino también de la SEC. Hablar sobre cómo ven a los CISO es una tarea muy ocupada”.
“Pero si nos fijamos en lo que ocurrió recientemente en United Healthcare, tuvo tal impacto que llevó al director ejecutivo a testificar ante el Congreso”, agregaron. “La lección aprendida es que los directores ejecutivos y las juntas directivas pueden ser responsables no sólo de los estándares y regulaciones en sí, sino también de quién es designado para liderar la ciberseguridad. Creo que los reguladores todavía están lidiando con cómo es la seguridad de los ICS, y algunos lo han estado haciendo. Lo hemos hecho durante años, como la FERC, y otros no lo han hecho. Creo que, como resultado, veremos una evolución en el aprendizaje”.
Además, agregaron: “También hay ramificaciones para las compañías de seguros y las compañías de informes crediticios, porque están analizando la regulación, están analizando qué estándares son apropiados, por ejemplo, nunca antes había visto que el Congreso hablara de múltiples. autenticación de factor, los senadores están escribiendo cartas a la SEC sobre la autenticación de múltiples factores y, obviamente, ese término se está volviendo popular, el control número uno al que señalan es la autenticación de múltiples factores, lo que significa que los controles técnicos se están planteando en las conversaciones de la sala de juntas. donde no estaban antes, crear este efecto burbujeante sí lo es”.
Gordon expresó su preocupación de que muchas personas quedan atrapadas en las siglas pero no las entienden completamente. Citó Zero Trust como un excelente ejemplo y señaló que, aunque Zero Trust ha recibido mucha atención a través de órdenes ejecutivas y debates más amplios, muchas personas no entienden completamente lo que significa, especialmente en el contexto de OT. “¿Qué es exactamente la confianza cero en la TO?”, preguntó, señalando que el concepto sigue abierto a interpretación y tiene un impacto práctico limitado. Gordon también planteó la cuestión de un número cada vez mayor de estándares industriales que van junto con marcos establecidos como NIST e IEC 62443. “Con tantas siglas y estándares emergentes, ¿realmente necesitamos más? ¿Y estos esfuerzos convergerán alguna vez?”, preguntó.
Además, Gordon señaló la proliferación de estándares de la industria y señaló que están surgiendo muchos estándares además de los estándares establecidos como NIST e IEC 62443. Cuestionó la necesidad de estas normas adicionales y se preguntó si eventualmente se produciría una convergencia en este campo en constante expansión.
“Mucho de eso proviene del hecho de que estándares como el 62443 en realidad giran en torno a los ingenieros de control, y sí, hablamos su idioma. Es el lado de la automatización”, dijeron los ejecutivos. Ya saben cómo los marcos de ciberseguridad hacen gran parte del mapeo. sabes que API 1164 y 3 también están integrados en 62443 porque hablan de estados de ingeniería de control.
El señor Gordon dijo: “Nuestra investigación rastrea una variedad de categorías de tecnología, incluido el descubrimiento de activos, el monitoreo de redes, la seguridad perimetral y el acceso remoto seguro. En general, rastreamos aproximadamente 11 categorías de tecnología y seis categorías de servicios adicionales. Esta ya es una situación compleja, especialmente para los profesionales. pasar del lado de la automatización o de las operaciones o de TI a OT. Lo que también es interesante es que siempre hay escasez de profesionales capacitados. Es difícil encontrar personas bien capacitadas porque el conjunto de habilidades es muy amplio”.
Pasando al aspecto de capacitación, el ejecutivo dijo: “Hace 15 o 20 años no había ningún curso en este campo, pero ahora hay muchos cursos diferentes para elegir. Hay cursos universitarios y cursos de continuación para operadores y personas en transición a OT. También está la educación. Creo que definitivamente somos 1000% mejores en esto que antes y creo que el desafío es probablemente la fuerza laboral, porque ¿dónde estamos en el lado de la solución? en qué gastar su dinero a continuación, incluidos procesos, evaluaciones de riesgos y compras de tecnología”.
Ana Ribeiro
Editor de noticias cibernéticas industriales. Anna Ribeiro es periodista freelance con más de 14 años de experiencia en seguridad, almacenamiento de datos, virtualización e IoT.
[ad_2]
Source link